RTX RAT
תקרית אבטחה בה מעורבת CPUID חשפה משתמשים לתוכנה זדונית דרך אתר האינטרנט הרשמי שלה, cpuid.com. במשך תקופה של פחות מ-24 שעות, גורמי איום הצליחו לתמרן קישורי הורדה כדי להפיץ גרסאות נגועות של כלי ניטור חומרה נפוצים.
הפריצה התרחשה בין ה-9 באפריל בשעה 15:00 UTC ל-10 באפריל בשעה 10:00 UTC, במהלכן הוחלפו לסירוגין קישורי התקנה לגיטימיים בהפניות זדוניות. חשוב לציין, CPUID אישר שהקבצים הבינאריים החתומים המקוריים שלו נותרו שלמים, מכיוון שהפריצה נבעה מתכונה משנית, בעיקרה ממשק API צדדי, שגרמה לאתר להציג קישורים מזיקים באופן אקראי במקום לשנות את התוכנה המרכזית עצמה.
תוכן העניינים
תשתית זדונית: דומיינים סוררים עומדים מאחורי ההתקפה
חקירות של חוקרי אבטחת סייבר זיהו מספר דומיינים ששימשו לאירוח ולהעברת המטענים הטרויאניים. אתרים סוררים אלה מילאו תפקיד מרכזי בהפניית משתמשים תמימים להורדות פרוצות:
- cahayailmukreatif.web[.]id
- pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
- טרנזיטאופלרמו[.]com
- וטרובראן[.]שעה
תחומים אלה היוו חלק מתשתית רחבה יותר שנועדה לתמוך בהפצת תוכנות זדוניות ובפעולות פיקוד ובקרה.
מנגנון אספקה חשאי: ניצול לרעה של טעינת DLL בצד
התוקפים השתמשו בטכניקת התחמקות ידועה הנקראת טעינת צד של DLL. החבילות הזדוניות הופצו הן כארכיוני ZIP והן כמתקינים עצמאיים, כל אחד מהם הכיל שני רכיבים: קובץ הרצה לגיטימי וחתום וספריית קישורים דינמית סוררת בשם 'CRYPTBASE.dll'.
על ידי ניצול האמון שניתן בקבצים בינאריים חתומים, ה-DLL הזדוני נטען במהלך הביצוע, מה שאפשר פריצה סמויה. לפני ביצוע פעולות נוספות, הנוזקה ביצעה בדיקות אנטי-ארגז חול כדי להימנע מגילוי בסביבות ניתוח. לאחר שעברו בדיקות אלו, היא יצרה קשר עם שרת חיצוני כדי לאחזר מטענים נוספים.
פריסת STX RAT: כלי רב-תכליתי לאחר ניצול
המטרה הסופית של הקמפיין הייתה לפרוס את ה-STX RAT, טרויאני גישה מרחוק רב עוצמה המצויד ביכולות מחשוב רשת וירטואלית נסתרת (HVNC) ופונקציונליות נרחבת של גניבת נתונים.
תוכנה זדונית זו מאפשרת לתוקפים לשמור על שליטה מתמשכת על מערכות נגועות ולבצע מגוון רחב של פעילויות לאחר הניצול, כולל:
- ביצוע בזיכרון של EXE, DLL, סקריפטים של PowerShell ו-shellcode
- פרוקסי הפוך ומנהור רשת
- אינטראקציה ומעקב מרחוק בשולחן עבודה
יכולות כאלה הופכות את STX RAT למסוכן במיוחד בסביבות פרטיות וארגוניות כאחד.
חפיפת קמפיינים: קישורים להתקפות FileZilla קודמות
ניתוח גילה שתשתית הפיקוד והשליטה (C2) ששימשה בתקרית זו הייתה קשורה בעבר לקמפיין נפרד שכלל מתקינים של FileZilla שנדבקו בטרויאנים. השימוש החוזר באותן תצורות שרת ותחומי תקשורת מעיד באופן חזק על חפיפה תפעולית בין שתי הקמפיינים.
חזרה זו על טקטיקות, טכניקות ותשתיות סיפקה אינדיקטורים חשובים לגילוי וייחוס.
תפעול ארוך טווח: ציר זמן של קמפיין בן 10 חודשים
חקירה נוספת מצביעה על כך שפריצת ה-CPUID היא חלק מקמפיין רחב יותר שהחל ביולי 2025. דגימת הנוזקה המוקדמת ביותר הידועה, שזוהתה כ-'superbad.exe', נצפתה מתקשרת עם שרת פיקוד ובקרה בכתובת 95.216.51.236.
מומחי אבטחה מעריכים כי גורם האיום ככל הנראה דובר רוסית וייתכן שהוא בעל מוטיבציה כלכלית או מתפקד כמתווך גישה ראשוני, ישות המתמחה בהשגת דריסת רגל במערכות ומכירת גישה זו לפושעי סייבר אחרים.
הערכת השפעה: הגעה עולמית לקורבנות מגוונים
ההתקפה פגעה ביותר מ-150 קורבנות מאומתים, בעיקר משתמשים פרטיים. עם זאת, גם ארגונים במגוון תעשיות חוו פגיעה, כולל מגזרי קמעונאות, ייצור, ייעוץ, טלקומוניקציה וחקלאות.
מבחינה גיאוגרפית, רוב ההדבקות זוהו בברזיל, רוסיה וסין, דבר המצביע על אסטרטגיית מיקוד רחבה ואופורטוניסטית.
חולשות תפעוליות: שגיאות שהובילו לגילוי
למרות היקף הקמפיין, מספר כשלים באבטחה תפעולית פגעו משמעותית ביעילותם של התוקפים. השימוש החוזר בשרשראות הדבקה זהות, מטענים של STX RAT ותחומי פיקוד ובקרה מקמפיינים קודמים הקל על המעקב והקישור בין הפעילות.
ליקויים אלה מצביעים על תחכום נמוך יחסית בשיטות פיתוח ופריסה של תוכנות זדוניות. כתוצאה מכך, מגיני ההגנה הצליחו לזהות את מתקפת ה"Watering Hole" במהירות לאחר תחילתה, מה שהגביל את ההשפעה הכוללת ואת חלון החשיפה שלה.
